Datenschutzrichtlinie

Das Unternehmen hat die Befugnis, das Governance- und Nachhaltigkeitssystem zu entwerfen, zu bewerten und kontinuierlich zu überprüfen und insbesondere die Unternehmensrichtlinien zu genehmigen und zu aktualisieren, die die Richtlinien enthalten, die das Handeln des Unternehmens regeln. In Ausübung dieser Verantwortlichkeiten und im Rahmen des Gesetzes, der Handlungsrichtlinien, die den Zweck und die Werte des Unternehmens konkretisieren, sowie seiner nachhaltigen Entwicklungsstrategie wird diese Datenschutzrichtlinie (die „Richtlinie“) genehmigt.

1. Zweck

Der Zweck dieser Richtlinie ist es, die gemeinsamen und allgemeinen Grundsätze und Richtlinien für das Handeln im Unternehmen in Bezug auf den Schutz personenbezogener Daten festzulegen und in jedem Fall die Einhaltung der geltenden Rechtsvorschriften zu gewährleisten.

Insbesondere garantiert die Richtlinie das Recht auf Datenschutz aller natürlichen Personen, die mit der Gesellschaft in Beziehung stehen, und gewährleistet die Achtung des Rechts auf Ehre und Privatsphäre bei der Verarbeitung der verschiedenen Arten personenbezogener Daten. aus verschiedenen Quellen und für unterschiedliche Zwecke, je nach ihrer unternehmerischen Tätigkeit, im Einklang mit der Menschenrechtspolitik des Unternehmens.

2. Anwendungsbereich

Diese Richtlinie gilt für das Unternehmen und alle Personen, die mit dem Unternehmen in Beziehung stehen.

3. Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Das Unternehmen hält sich strikt an die Datenschutzgesetze seiner Gerichtsbarkeit und an die für die von ihm durchgeführten Verarbeitungen personenbezogener Daten geltenden Gesetze.

Darüber hinaus wird das Unternehmen dafür werben, dass die in dieser Richtlinie enthaltenen Grundsätze berücksichtigt werden: (i) bei der Gestaltung und Umsetzung aller Verfahren zur Verarbeitung personenbezogener Daten; (ii) bei den von ihnen angebotenen Produkten und Dienstleistungen; (iii) in allen Verträgen und Verpflichtungen, die sie mit natürlichen Personen abschließen; und (iv) bei der Einführung aller Systeme und Plattformen, die es den Fachleuten des Unternehmens oder Dritten ermöglichen, auf personenbezogene Daten zuzugreifen und diese zu erheben oder zu verarbeiten.

4. Grundprinzipien für die Verarbeitung personenbezogener Daten

Die Grundsätze für die Verarbeitung personenbezogener Daten, auf denen diese Richtlinie beruht, sind nachstehend aufgeführt:

a) Grundsätze der Rechtmäßigkeit, Billigkeit und Lauterkeit bei der Verarbeitung personenbezogener Daten.

Die Verarbeitung der personenbezogenen Daten erfolgt rechtmäßig, vorschriftsmäßig und nach den geltenden Gesetzen. In diesem Sinne müssen die personenbezogenen Daten für einen oder mehrere spezifische und legitime Zwecke gemäß den geltenden Rechtsvorschriften erhoben werden.

In den Fällen, in denen dies nach geltendem Recht erforderlich ist, muss die Einwilligung der betroffenen Personen eingeholt werden, bevor ihre Daten erhoben werden.

Darüber hinaus sind die Zwecke der Verarbeitung personenbezogener Daten, soweit gesetzlich vorgeschrieben, zum Zeitpunkt ihrer Erhebung ausdrücklich anzugeben.
Das Unternehmen erhebt und verarbeitet insbesondere keine personenbezogenen Daten, die sich auf ethnische oder rassische Herkunft, politische Überzeugung, Glauben, religiöse oder philosophische Überzeugungen, Sexualleben oder sexuelle Orientierung oder Gewerkschaftszugehörigkeit beziehen. Gesundheit, genetische oder biometrische Daten zur eindeutigen Identifizierung einer Person, es sei denn, die Erhebung dieser Daten ist notwendig, legitim und nach geltendem Recht erforderlich oder zulässig in diesem Fall werden sie gemäß den Bestimmungen der Vereinbarung gesammelt und verarbeitet.

b) Grundsatz der Minimierung

Es werden nur solche personenbezogenen Daten verarbeitet, die für den Zweck, zu dem sie erhoben oder verarbeitet werden, unbedingt erforderlich und diesem Zweck angemessen sind.

c) Grundsatz der Genauigkeit.

Die personenbezogenen Daten müssen korrekt und auf dem neuesten Stand sein. Andernfalls sind sie zu löschen oder zu berichtigen.

d) Grundsatz der Begrenzung der Aufbewahrungsfrist.

Die personenbezogenen Daten werden nicht über den Zeitraum hinaus aufbewahrt, der für die Erreichung des Zwecks erforderlich ist, für den sie verarbeitet werden, außer in den gesetzlich vorgesehenen Fällen.

Anhang I – Protokoll, Aufbewahrungsfristen und Entsorgungsfristen.

e) Grundsätze der Integrität und der Vertraulichkeit.

Bei der Verarbeitung personenbezogener Daten ist durch geeignete technische oder organisatorische Maßnahmen eine angemessene Sicherheit zu gewährleisten, die den Schutz dieser Daten vor unbefugter oder unrechtmäßiger Verarbeitung gewährleistet und ihren Verlust, ihre Zerstörung oder unbeabsichtigte Schäden verhindert.

Anhang II – Sicherheitspolitik

Die vom Unternehmen erhobenen und verarbeiteten personenbezogenen Daten müssen streng vertraulich und geheim aufbewahrt werden. dürfen nicht für andere Zwecke verwendet werden als diejenigen, die ihre Erhebung gerechtfertigt und ermöglicht haben, und können nicht außerhalb der von den geltenden Rechtsvorschriften zugelassenen Fälle an Dritte weitergegeben oder abgetreten werden.

f) Grundsatz der proaktiven Rechenschaftspflicht.

Das Unternehmen ist für die Einhaltung der in dieser Richtlinie festgelegten Grundsätze und der nach geltendem Recht erforderlichen Bestimmungen verantwortlich und muss dies nachweisen können, wenn dies nach geltendem Recht erforderlich ist.

Risikoanalyse

Das Unternehmen muss eine Risikobewertung der von ihm durchgeführten Verarbeitungen durchführen, um die Maßnahmen zu bestimmen, die ergriffen werden müssen, um sicherzustellen, dass die personenbezogenen Daten gemäß den gesetzlichen Anforderungen verarbeitet werden. Die Risiken für den Schutz personenbezogener Daten, die sich aus neuen Produkten, Dienstleistungen oder Informationssystemen ergeben können, werden vorab geprüft und es werden die notwendigen Maßnahmen ergriffen, um diese Risiken zu beseitigen oder abzumildern, sofern dies gesetzlich vorgeschrieben ist.

Bei komplexen Verarbeitungen, bei denen die Hauptrisikoquelle aus der Sensitivität, dem Umfang der Daten, den Methoden zur Datenerhebung oder ihrer Weitergabe an Dritte besteht, ist eine umfassende Lebenszyklusanalyse der Daten zu empfehlen.

Anhang III – Lebenszyklus der Daten

Aufzeichnung der Verarbeitungstätigkeiten

Das Unternehmen führt ein Tätigkeitsverzeichnis, in dem die von ihm im Rahmen seiner Tätigkeiten vorgenommene Verarbeitung personenbezogener Daten beschrieben wird.

Umgang mit Sicherheitsverletzungen

Im Falle eines Vorfalls, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust oder zu einer Änderung von personenbezogenen Daten führt, oder bei unbefugter Weitergabe oder unbefugtem Zugriff auf diese Daten, sind die vom Sicherheitsbeauftragten zu diesem Zweck festgelegten internen Protokolle einzuhalten. oder durch die Geschäftsleitung, die seine Aufgaben wahrnimmt und für die das anwendbare Recht bestimmt ist. Diese Vorkommnisse sind zu dokumentieren und es werden Maßnahmen ergriffen, um mögliche negative Auswirkungen auf die betroffenen Personen zu beheben und abzumildern.

Anhang IV – Protokoll über das Management von Sicherheitsverletzungen

g) Grundsätze der Transparenz und Information.

Die Verarbeitung personenbezogener Daten erfolgt in transparenter Weise gegenüber der betroffenen Person, indem sie ihr Informationen über die Verarbeitung ihrer Daten in verständlicher und zugänglicher Form zur Verfügung stellt, sofern dies nach geltendem Recht erforderlich ist.

Um eine faire und transparente Verarbeitung zu gewährleisten, muss das Unternehmen als für die Verarbeitung Verantwortlicher betroffene Personen oder betroffene Personen, deren Daten erhoben werden sollen, über die Umstände der Verarbeitung gemäß den geltenden Rechtsvorschriften informieren.

Anhang V – Protokoll zur Information der betroffenen Personen über die Verarbeitung

h) Erwerb oder Einholung personenbezogener Daten.

Es ist untersagt, personenbezogene Daten aus ungesetzlichen Quellen zu erheben oder zu erhalten, aus Quellen, die keine hinreichende Gewähr für ihre rechtmäßige Herkunft bieten, oder aus Quellen, deren Daten unter Verstoß gegen das Gesetz erhoben oder übermittelt wurden.

i) Einstellung von Auftragsverarbeitern.

Vor der Beauftragung eines Dienstleisters, der auf personenbezogene Daten zugreift, für die das Unternehmen verantwortlich ist, sowie während der Laufzeit des Vertragsverhältnisses müssen diese die notwendigen Maßnahmen ergreifen, um sicherzustellen und, sofern rechtlich durchsetzbar, nachweisen, dass die Datenverarbeitung durch den Auftragsverarbeiter gemäß den geltenden Vorschriften erfolgt.

Anhang VI – Protokoll über die Anwerbung von Lieferanten.

j) Internationale Datenübermittlung.

Jede Verarbeitung personenbezogener Daten, die dem Recht der Europäischen Union unterliegt und eine Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums beinhaltet, muss unter strikter Einhaltung der Anforderungen des geltenden Rechts in der Herkunftsgerichtsbarkeit erfolgen.

k) Rechte der betroffenen Personen.

Das Unternehmen muss den betroffenen Personen die Ausübung der Rechte auf Zugang, Berichtigung, Widerspruch, Löschung, Übertragbarkeit und Einschränkung der Verarbeitung ermöglichen, indem es zu diesem Zweck die internen Verfahren festlegt, die zur Erfüllung dieser Rechte erforderlich sind. zumindest die jeweils geltenden gesetzlichen Anforderungen.

Anhang VII – Protokoll über die Verwaltung der Rechte betroffener Personen

5. Umsetzung

Die HR-Direktion entwickelt und aktualisiert gemäß den Bestimmungen dieser Richtlinie die internen Vorschriften für das globale Datenschutzmanagement. , die von der genannten Geschäftsleitung umgesetzt wird und für alle Mitglieder des Managementteams und Fachleute der Gesellschaft verpflichtend ist.

Ebenso wird die HR-Direktion zusammen mit den anderen Verantwortlichen der Abteilung interne Verfahren einrichten, um die in dieser Richtlinie enthaltenen Prinzipien zu entwickeln und ihren Inhalt gemäß dem geltenden Recht zu konkretisieren.

Die HR-Direktion ist für die Berichterstattung über regulatorische Entwicklungen und Neuerungen im Bereich des Schutzes personenbezogener Daten verantwortlich.

Der Leiter der IT-Abteilung ist für die Umsetzung verantwortlich, die Kontrollen und IT-Entwicklungen, die geeignet sind, um die Einhaltung der internen Vorschriften für die weltweite Verwaltung des Datenschutzes zu gewährleisten, und stellt sicher, dass diese Entwicklungen jederzeit aktualisiert werden.

Zusätzlich werden die folgenden Schritte unternommen: (i) die Personen, die für die Daten verantwortlich sind, zu benennen, vorbehaltlich der jeweils geltenden Rechtsvorschriften, und diese werden koordiniert und unter der Aufsicht der HR-Direktion agieren; und (ii) Mit solchen Aktivitäten zu koordinieren, die die Verwaltung personenbezogener Daten beinhalten oder umfassen.

Schließlich werden die Datenschutzberater den allgemeinen Stand des Schutzes personenbezogener Daten überwachen und für eine angemessene Einhaltung der Praktiken und ein angemessenes Risikomanagement im Bereich des Schutzes personenbezogener Daten sorgen.

6. Überwachung und Bewertung

Es obliegt der Geschäftsleitung, die ihre Aufgaben wahrnimmt, die Einhaltung der Bestimmungen dieser Richtlinie durch das Unternehmen zu überwachen. Die vorstehenden Bestimmungen gelten in jedem Fall unbeschadet der Verantwortlichkeiten anderer Organe und Direktionen des Unternehmens.

Zur Überprüfung der Einhaltung dieser Richtlinie werden regelmäßige Audits mit internen oder externen Prüfern durchgeführt.

Bewertung

Das zuständige Management wird mindestens einmal jährlich die Einhaltung und Wirksamkeit dieser Richtlinie bewerten und über das Ergebnis berichten.
Diese Richtlinie wurde am 2. Juni 2026 genehmigt.